Рейтинг:0

Почему некоторые группы являются «группами», а некоторые — «встроенными»?

флаг in

могу ли я переместить все группы по умолчанию (и пользователей) во встроенные? по какой причине некоторые из них находятся в папке groups/users. например: «Разрешенная группа репликации паролей RODC».

Рейтинг:1
флаг cn

Встроенный контейнер — это контейнер по умолчанию для групп безопасности с префиксом встроенного SID домена S-1-5-32. Идентификаторы SID для заданного встроенного субъекта безопасности одинаковы во всех системах Windows и не содержат SID домена.

Контейнер пользователей — это контейнер по умолчанию для пользователей и групп, которые не являются встроенными.

Нет причин перемещать какие-либо объекты в контейнер Builtin или из него.

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/security-identifiers

«SID для встроенных учетных записей и групп всегда имеют одно и то же значение идентификатора домена: 32. Это значение определяет встроенный домен, который существует на каждом компьютере, на котором работает версия операционной системы Windows Server. встроенные учетные записи и группы компьютера из встроенных учетных записей и групп другого компьютера, поскольку они являются локальными по своему охвату».

friendly joe avatar
флаг in
но есть ли причина, по которой группа «Разрешенная группа репликации паролей RODC» не находится в этом «встроенном» контейнере? и можно ли без проблем переместить его из «групп» -> «встроенный»?
флаг cn
@friendlyjoe: проверьте SID, это не встроенный SID (32), это SID домена (21). Я не верю, что возникнет проблема, но информации не так много, потому что никто этим не занимается.
friendly joe avatar
флаг in
Я знаю, что информации не так много.. иначе я бы не спрашивал. то, что SID отличается для пользователей buitlin и домена, также в порядке ... но на самом деле не отвечает на вопрос. Мне нужен какой-то способ сделать возможным мультиарендность в моей IAM-системе.. но я не могу запретить доступ на чтение для пользователей/групп, потому что тогда он перестанет работать..
флаг cn
@friendlyjoe: это то, что нужно проверить за 10 минут.
friendly joe avatar
флаг in
Тестирую rn, вроде работает (создал для них дополнительный контейнер). но я боюсь, что из-за этого могут возникнуть проблемы в будущем.
Рейтинг:0
флаг jo

ВСТРОЕННЫЕ группы — это исходные локальные группы первого контроллера домена в лесу (поэтому в SID стоит «32»). Хотя все группы в некотором смысле локальны для контроллеров домена, вы обнаружите, что эти группы по существу являются «общими» локальными группами контроллеров домена. За прошедшие годы было добавлено больше таких групп, специфичных для контроллера домена (например, «Разрешенная группа репликации паролей RODC»).

Примеры:

  • добавление пользователя в группу BUILTIN\Remote Desktop Users предоставляет RDP-доступ к контроллерам домена.
  • добавление пользователя в группу пользователей удаленного управления предоставляет WinRM доступ к контроллерам домена
  • Операторы печати? Это управление принтером на контроллерах домена (которое вам никогда не следует делать).

Это самый простой способ для меня понять. Лучший способ думать о них — как правило, вы не должны использовать эти группы ни для чего другого.

Что касается того, могут ли они быть перемещены или нет? Обычно я оставляю ВСТРОЕННЫЕ группы в покое, но если вы действительно заинтересованы в очистке, обратитесь к этому документу, какие детали для вас могут быть перемещены, но не могут быть перемещены. Обратите внимание на эту ссылку:

https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-director...

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.